La traçabilité dans les envois en nombre de courrier

La traçabilité dans les envois en nombre de courrier
Stéphane Bortzmeyer
<[email protected]>
Représentant l’AFNIC∗
au groupe de contact contre le spam
4 août 2004
Résumé
Beaucoup de discussions autour de la légitimité ou non des envois en nombre de courrier
électronique tournent autour de concepts comme l’opt-in ou l’opt-out mais sans jamais mentionner la nécessité de vérifier les prétentions d’une liste à être, par exemple, réellement opt-in
.
Ce document propose un principe à suivre par toute liste qui prétend être opt-in : la
traçabilité, c’est-à-dire l’importance de garder trace des inscriptions des abonnés à la liste utilisée pour l’envoi.
1
Rappels
Il est largement admis que tout envoi de courrier en masse à une liste d’adresses non
constituée par opt-in 1 est du spam .
On appelle opt-in , littéralement ”opter pour entrer”, l’option d’envoi de courriers qui
consiste à n’envoyer à l’internaute que des messages ciblés qu’il a clairement consenti à recevoir.
Naturellement, le vrai opt-in doit être confirmé2 : autrement, n’importe qui pourrait vous
inscrire à une liste en donnant votre adresse dans un formulaire Web.
Tout aussi naturellement, un formulaire où une case (“Je souhaite recevoir régulièrement
des informations”) est déjà pré-cochée n’est pas du opt-in 3 . La case peut en effet être laissée par
l’internaute par oubli.
2
Limites
Un problème classique avec l’opt-in est qu’un spammeur peut déclarer, de manière mensongère, que son fichier a été constitué par opt-in . À l’heure actuelle, c’est très difficile à vérifier,
et la démonstration du mensonge nécessiterait une lourde procédure judiciaire.
Un bon test à ce sujet est de demander au gérant de la liste que vous recevez sans l’avoir
jamais demandé quand vous avez été inscrit. Il n’est quasiment jamais capable de répondre.
Les excuses varient de “Je ne retrouve pas” à “C’est un fichier que nous avons acheté mais à une
entreprise légitime et nous sommes sûrs qu’ils ne prennent que de l’opt-in ”.
∗ L’AFNIC (Association Française pour le Nommage Internet en Coopération) http://www.afnic.fr/ est le registre
des domaines géographiques français .fr et .re
1 Sauf évidemment si la présence sur la liste est liée à un contrat précis et explicite, par exemple le contrat de travail
ou l’inscription dans une université : les employés d’une entreprise, par exemple, ne doivent pas s’étonner de recevoir
les messages envoyés à tous les employés, en utilisant l’annuaire interne comme liste. Cela n’enlève rien à l’exigence
de traçabilité : l’expéditeur des messages doit être capable de dire “Vous recevez ce message car vous êtes étudiant
régulièrement inscrit pour l’année 2004-2005 dans la filière X de l’université Y”.
2 Ce que les spammeurs appelent parfois le “double opt-in ” pour faire croire qu’ils font de l’opt-in .
3 Les spammeurs appelent parfois cela du “opt-in passif”.
1
2/2
AFNIC
3
Traçabilité
Une approche pour résoudre ce problème et empêcher les spammeurs de se prétendre
légitimes, tout en laissant les listes de diffusion fonctionner, serait de demander une traçabilité
des inscriptions. Toute liste d’adresses utilisée pour l’envoi en masse devrait être accompagnée
des informations d’inscription, par exemple la date. Ces informations devraient toujours accompagner la liste (en cas de vente de fichier, par exemple), de façon à ce que l’expéditeur puisse
justifier chaque inscription. Actuellement, l’excuse favorite des spammeurs pour justifier leur
incapacité à prouver une inscription est le fait qu’ils ont obtenu le fichier de quelqu’un d’autre,
qui a gardé ces preuves. . .. Le transfert des preuves est donc impératif.
Cette traçabilité permettrait également de rassurer le receveur comme suggéré dans le Bulk
e-mail HOWTO4 : “DO say why the recipient is getting the message, e.g. ”you signed up for
the cheese of the month list on September 4, 1997.” If you get addresses from co-reg, tell the
recipient where they signed up, and not just ”one of our marketing partners.”.
Ces informations stockées pourraient servir de preuve5 en cas de contestation (“Vous vous
êtes inscrit le 11 mai 2004 depuis la machine 192.168.1.2 et vous avez confirmé par un message dont voici les en-têtes”).
4
Que conserver ?
Le principe est de conserver tout ce qui permet de répondre à la question “par quel moyen
et quand telle personne6 a-t-elle donné son accord pour figurer sur cette liste”.
Dans tous les cas, on doit conserver la date de l’inscription. C’est le premier critère de vraisemblance.
Ensuite, dans le cas d’une inscription entièrement via le Web, il faut garder l’adresse IP de
la machine cliente et le champ User-Agent qui, en identifiant le navigateur utilisé, permet un
meilleur contrôle de vraisemblance.
Dans le cas d’une inscription entièrement par courrier électronique, il est nécessaire de
conserver les messages échangés, ou, au moins, leurs en-têtes intégraux.
Dans le cas d’une méthode mixte (demande par le Web puis envoi d’un message de confirmation), on doit enregistrer les deux informations (adresse IP et message envoyé).
Répétons-le, toutes ces informations doivent être transmises avec le fichier d’adresses en cas
d’échange ou de revente.
5
Déploiement pratique
La totalité du processus présenté ici peut être facilement automatisé donc son coût est faible.
Toutes les informations mentionnées au point précédent sont en effet accessibles au logiciel
d’enregistrement.
Les auteurs du logiciel libre de gestion de listes Sympa7 ont été contactés à ce sujet et ont
indiqué leur intérêt pour cette méthode, qu’ils envisagent de mettre en oeuvre automatiquement
dans leur logiciel.
6
Conclusion
Cette proposition de bonne pratique permettrait de diminuer bien des malentendus entre
gestionnaires de liste et abonnés, et de mettre en évidence les spammeurs menteurs qui
présentent leurs listes comme opt-in .
4 http://spam.abuse.net/marketerhelp/bulk-howto.shtml
5 Au sens juridique du terme, où les preuves sont soumises à l’appréciation du juge, pas au sens technique où on
comprend immédiatement cryptographie, signatures électroniques et autres mécanismes lourds et coûteux à déployer.
6 Ou, plus exactement, “le responsable de telle adresse” car l’adresse peut être collective.
7 Développé par le Comité Réseaux des Universités http://www.cru.fr/, Sympa http://www.sympa.org/ est
utilisé par le service de listes dudit CRU http://listes.cru.fr/wws/ et ses auteurs ont donc une grande expérience
du problème.
La traçabilité - Contribution AFNIC au groupe de contact contre le spam